基于ARINC822的機(jī)載無線網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)

史巖+朱佳+范祥輝+王紅春

摘要無線網(wǎng)絡(luò)在民機(jī)上的應(yīng)用是一個(gè)全新的應(yīng)用模式，在提高飛機(jī)維護(hù)效率，降低飛機(jī)維護(hù)成本的同時(shí)，也對機(jī)載網(wǎng)絡(luò)安全性設(shè)計(jì)提出了更嚴(yán)格的要求。通過對機(jī)載無線網(wǎng)絡(luò)架構(gòu)的研究，本文分析了可能由地面網(wǎng)絡(luò)技術(shù)引入的網(wǎng)絡(luò)安全威脅，并針對這些威脅探討了相對應(yīng)的安全防護(hù)策略。

關(guān)鍵詞ARINC822；Gatelink；機(jī)載無線網(wǎng)絡(luò)；機(jī)載網(wǎng)絡(luò)安全；安全架構(gòu)

中圖分類號(hào)：TN918 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-7597（2014）12-0044-02

機(jī)載無線網(wǎng)絡(luò)提供一種無線通信連接，此連接通過使用網(wǎng)際協(xié)議（IP）來提供泊機(jī)和地面IP網(wǎng)絡(luò)基礎(chǔ)設(shè)施之間的服務(wù)。這種無線通信連接（通常被稱為Gatelink）為機(jī)場和機(jī)上網(wǎng)絡(luò)提供了網(wǎng)絡(luò)連接（如圖1）。Gatelink使航空公司能夠以一種安全的方式與飛機(jī)網(wǎng)絡(luò)及其他設(shè)備進(jìn)行通信。當(dāng)飛機(jī)停泊以后可以自動(dòng)建立起Gatelink連接，泊機(jī)通過無線鏈路上傳下載數(shù)據(jù)。本文以機(jī)載無線網(wǎng)絡(luò)安全為出發(fā)點(diǎn)，通過描述機(jī)載無線網(wǎng)絡(luò)系統(tǒng)，對機(jī)載無線網(wǎng)絡(luò)安全所面臨的威脅進(jìn)行了分析，研究機(jī)載無線網(wǎng)絡(luò)的安全架構(gòu)。

圖1Gatelink連接

1機(jī)載無線網(wǎng)絡(luò)系統(tǒng)

1.1 網(wǎng)絡(luò)要素

圖2機(jī)載無線網(wǎng)絡(luò)系統(tǒng)架構(gòu)

機(jī)載無線網(wǎng)絡(luò)系統(tǒng)包括機(jī)場有線網(wǎng)絡(luò)和Gatelink無線網(wǎng)絡(luò)。圖2闡述了針對機(jī)場到飛機(jī)的訪問所需要的基本網(wǎng)絡(luò)架構(gòu)。終端無線局域網(wǎng)網(wǎng)絡(luò)功能（TWLF）與路由功能、DHCP或一些網(wǎng)絡(luò)安全功能結(jié)合在一起，稱之為終端無線局域網(wǎng)單元（TWLU）。

地面網(wǎng)絡(luò)包括了無線網(wǎng)絡(luò)部件和形成機(jī)場無線局域網(wǎng)（WLAN）的路由器。此外，諸如DNS服務(wù)器、DHCP、AAA服務(wù)器等的設(shè)備也被包括在機(jī)場和（或）航空公司負(fù)責(zé)的地面網(wǎng)絡(luò)中。機(jī)場和航空公司信息系統(tǒng)之間的網(wǎng)絡(luò)基礎(chǔ)構(gòu)架同樣在其中。

1.2 機(jī)場無線連接

當(dāng)飛機(jī)處在機(jī)場AP范圍之內(nèi)時(shí)，TWLF客戶端將根據(jù)為Gatelink功能設(shè)定的SSID來掃描可用的AP。如果有相同SSID存在且信號(hào)足夠強(qiáng)，TWLF將自動(dòng)與機(jī)場無線網(wǎng)絡(luò)設(shè)備射頻關(guān)聯(lián)。如果沒有掃描到，那么TWLF將不會(huì)關(guān)聯(lián)。一旦射頻關(guān)聯(lián)完成，TWLF將會(huì)發(fā)起一個(gè)與機(jī)場AP基于已注冊的TWLF AAA服務(wù)器設(shè)置的認(rèn)證過程。服務(wù)器可放置在機(jī)場或航空公司。一旦認(rèn)證過程完成，進(jìn)行密鑰交換，創(chuàng)建機(jī)場和飛機(jī)之間的無線網(wǎng)絡(luò)會(huì)話。

2機(jī)載無線網(wǎng)絡(luò)安全威脅

機(jī)載無線通信系統(tǒng)主要面臨來自無線局域網(wǎng)技術(shù)及傳統(tǒng)有線網(wǎng)絡(luò)技術(shù)的安全威脅，要分析和設(shè)計(jì)一個(gè)通信系統(tǒng)的安全性，必須從攻防兩個(gè)對立面入手。

2.1 被動(dòng)攻擊

被動(dòng)攻擊是指未經(jīng)授權(quán)的實(shí)體簡單地訪問網(wǎng)絡(luò)，但不修改其中內(nèi)容的攻擊方式，被動(dòng)攻擊一般是簡單的竊聽或流量分析。

2.2 主動(dòng)攻擊

主動(dòng)攻擊是指未經(jīng)授權(quán)的實(shí)體接入網(wǎng)絡(luò)，并修改信息、數(shù)據(jù)流或文件內(nèi)容的一種攻擊方式?？梢岳猛暾詸z驗(yàn)檢測到這類攻擊，但無法阻止這類攻擊。

1）偽裝攻擊：攻擊者可以通過偽裝成合法的服務(wù)器或通信的一方來獲取敏感數(shù)據(jù)。

2）篡改攻擊：攻擊者通過添加、刪除、更改或重新組織來改變合法消息。

3）重放攻擊：攻擊者通過被動(dòng)攻擊檢測傳輸?shù)男畔⒘?，重傳合法用戶曾?jīng)發(fā)布過的信息。

4）拒絕服務(wù)：一方面，惡意用戶可以通過AP接入網(wǎng)絡(luò)后，向AP持續(xù)發(fā)送垃圾數(shù)據(jù)或利用協(xié)議漏洞造成接入設(shè)備工作變緩甚至因資源耗盡而崩潰，從而占用帶寬影響正常通信數(shù)據(jù)流，最終導(dǎo)致拒絕服務(wù)。

5）另一方面，接入至外部網(wǎng)絡(luò)后，接入設(shè)備的IP地址直接暴露在外部網(wǎng)絡(luò)中，針對該IP的Dos/DDoS就會(huì)使接入設(shè)備不能正常工作，導(dǎo)致網(wǎng)絡(luò)癱瘓。

針對機(jī)載無線通信系統(tǒng)存在的潛在危險(xiǎn)，如何保證網(wǎng)絡(luò)的安全成為無線網(wǎng)絡(luò)應(yīng)用于航空業(yè)首先要解決的問題。

2.3 無線技術(shù)是不可靠的

IEEE802.11b/g和IEEE802.11a是目前部署最廣泛的無線技術(shù)。傳統(tǒng)上，IEEE802.11安全保護(hù)包括使用開放式認(rèn)證或共享密鑰認(rèn)證和使用靜態(tài)的等效有線加密密鑰（WEP）。這種結(jié)合提供了訪問控制和加密的基本標(biāo)準(zhǔn)，但實(shí)際中是不可靠的。

1）認(rèn)證。IEEE802.11支持三種認(rèn)證方式：開放式認(rèn)證，允許所有接入；共享密鑰認(rèn)證，明文的挑戰(zhàn)文本以及被WEP密鑰加密的相同挑戰(zhàn)能夠輕易的被破解；公鑰認(rèn)證：公共密鑰認(rèn)證使用一個(gè)與共享密鑰類似的挑戰(zhàn)系統(tǒng)，但是僅擁有挑戰(zhàn)文本和WEP加密過的響應(yīng)不足以解密出所使用的潛在的密鑰。所以公鑰（PKI）認(rèn)證是首選的方法。

2）密鑰管理。靜態(tài)的WEP密鑰由40或128位組成，這種密鑰由AP的網(wǎng)絡(luò)管理員和所有與AP通信的客戶端靜態(tài)定義。靜態(tài)WEP密鑰的設(shè)備丟失或者被盜，將會(huì)對網(wǎng)絡(luò)帶來極大的危險(xiǎn)而且?guī)缀鯚o法被管理員察覺。在此之后網(wǎng)絡(luò)管理員必須更改與被盜設(shè)備靜態(tài)WEP密鑰相同的所有設(shè)備上的WEP密鑰。如果靜態(tài)WEP密鑰被類似于AirSnort的工具所破解，網(wǎng)管將無從得知密鑰已被黑客危害。

3安全架構(gòu)及關(guān)鍵技術(shù)

通過對機(jī)載無線通信系統(tǒng)安全威脅的分析并結(jié)合OSI模型，安全威脅主要源自于鏈路層MAC接入控制子層以上應(yīng)用層之下的各層協(xié)議。針對這些威脅涉及到的協(xié)議，通過層次化的安全技術(shù)如接入控制驗(yàn)證技術(shù)、數(shù)據(jù)傳輸加密技術(shù)和防火墻技術(shù)等來解決，各安全技術(shù)在OSI模型中所處的位置見圖3所示。以分層方式采取多種不同的安全策略來構(gòu)建一個(gè)安全、保密的異構(gòu)網(wǎng)絡(luò)端到端數(shù)據(jù)傳輸通道。即應(yīng)針對不同層次的安全需求采取相應(yīng)措施來最大限度的保證機(jī)載無線網(wǎng)絡(luò)通信的安全性。

圖3安全技術(shù)與OSI模型對照關(guān)系

3.1 無線鏈路層安全技術(shù)

GateLink連接是實(shí)現(xiàn)機(jī)載網(wǎng)絡(luò)與機(jī)場網(wǎng)絡(luò)互通的橋梁，其開放性的特點(diǎn)是整個(gè)網(wǎng)路中安全性最薄弱的環(huán)節(jié)，機(jī)載網(wǎng)絡(luò)端以TWLF作為無線通信的實(shí)體，機(jī)場網(wǎng)絡(luò)端以AP作為無線接入設(shè)備，兩者基于IEEE802.11協(xié)議實(shí)現(xiàn)無線連接。IEEE802.11i實(shí)現(xiàn)了增強(qiáng)的雙向身份認(rèn)證機(jī)制、層次密鑰機(jī)制與密鑰管理方法以及增強(qiáng)的加密算法等措施以增強(qiáng)無線網(wǎng)絡(luò)的安全防護(hù)能力。

IEEE802.11i使用802.1X作為接入控制協(xié)議，IEEE802.1X是基于端口的身份認(rèn)證與訪問控制協(xié)議，是一種典型的C/S體系結(jié)構(gòu)，整個(gè)系統(tǒng)分為客戶端、認(rèn)證者和認(rèn)證服務(wù)器三個(gè)重要部分。IEEE802.1x在LAN設(shè)備的物理接入級對接入設(shè)備進(jìn)行驗(yàn)證和控制，為點(diǎn)到點(diǎn)連接的LAN交換設(shè)備端口提供認(rèn)證和授權(quán)服務(wù)。連接在該類端口上的用戶設(shè)備如果能通過驗(yàn)證，就可以訪問LAN內(nèi)的資源；如果不能通過驗(yàn)證，端口接入將被阻塞，相當(dāng)于物理上斷開連接。

通過采用EAP-TLS提供動(dòng)態(tài)會(huì)話密鑰分發(fā)的雙向認(rèn)證機(jī)制。無線客戶端和服務(wù)器需要標(biāo)準(zhǔn)的X.509證書并安裝。對重放攻擊免疫，在拓展為EAP-TLS后可以有效的防止拒絕服務(wù)式攻擊。EAP-TLS認(rèn)證在安全性方面有特有的優(yōu)勢，需要在客戶機(jī)和認(rèn)證服務(wù)器上使用證書，進(jìn)行兩次認(rèn)證，盡管需要客戶機(jī)、服務(wù)器之間繁瑣的證書管理，但EAP-TLS實(shí)現(xiàn)方法比其他EAP更安全。本設(shè)計(jì)基于EAP-TLS的雙向認(rèn)證機(jī)制，保證TWLU和AP兩端都是合法用戶，避免重放攻擊、DoS攻擊。

3.2 網(wǎng)絡(luò)層安全技術(shù)IPSec VPN

當(dāng)在無線環(huán)境中部署IPSec時(shí)，IPSec客戶端被置于機(jī)場網(wǎng)絡(luò)出口的網(wǎng)關(guān)中，繼而建立一個(gè)IPSec隧道發(fā)送所有相關(guān)的數(shù)據(jù)流到目標(biāo)網(wǎng)絡(luò)，并利用黑洞方法剔除到達(dá)VPN網(wǎng)關(guān)和DHCP/DNS服務(wù)器之外的任何目的地的數(shù)據(jù)包。這樣IPSec VPN不但為IP數(shù)據(jù)包提供了機(jī)密性，并且具有認(rèn)證和防止重放的功能。

endprint

IPSec協(xié)議工作在網(wǎng)絡(luò)層，這使IPsec更加靈活，因?yàn)樗梢杂脕肀Ｗo(hù)基于TCP和UDP的應(yīng)用層協(xié)議數(shù)據(jù)，但這增加了它的復(fù)雜度以及總的開銷處理，因?yàn)樗荒芤揽縏CP管理可靠度。當(dāng)前IPSec多是被用于域（site）到域的安全可靠的連接協(xié)議，它并不用來保護(hù)特定應(yīng)用或業(yè)務(wù)。因此可以使用SSL/TLS等傳輸層及其以上的（OSI模型的第4層至第7層）安全協(xié)議來完成針對特定應(yīng)用安全的端到端數(shù)據(jù)傳輸通道。

3.3 端到端安全技術(shù)SSL VPN

SSL VPN是新興的遠(yuǎn)程訪問技術(shù)，通過Web瀏覽器或?qū)Ｓ每蛻舳颂峁┡c企業(yè)內(nèi)部資源的安全連接。該技術(shù)位于OSI模型的傳輸層和應(yīng)用層之間。SSL VPN可以根據(jù)不同的用戶和安全屬性授予用戶不同的訪問權(quán)限，這是SSL VPN與傳統(tǒng)遠(yuǎn)程訪問解決方案（如基于IPSec的遠(yuǎn)程訪問VPN）的主要區(qū)別。這種方式優(yōu)于傳統(tǒng)的IPsec VPN方式的主要特點(diǎn)是不需要安裝任何用戶終端軟件，用戶終端只需要擁有一個(gè)支持SSL的瀏覽器即可。

本研究方案對IPSec VPN和SSL VPN兩種安全技術(shù)都做了研究，根據(jù)航空應(yīng)用場景和航空應(yīng)用對安全性的要求，將兩種VPN結(jié)合起來，充分發(fā)揮它們的優(yōu)勢，為飛機(jī)和航空公司之間的通信提供高信息安全保障。

4結(jié)論

機(jī)載網(wǎng)絡(luò)與地面網(wǎng)絡(luò)通過機(jī)場無線網(wǎng)絡(luò)進(jìn)行無縫連接的功能，改變了機(jī)載信息與地面網(wǎng)絡(luò)信息相互交互的傳輸過程和方式，可以大幅度提升數(shù)據(jù)上傳下載的效率，提升維護(hù)效率，降低維護(hù)成本，并及時(shí)預(yù)測故障的發(fā)生。本文參考ARINC822規(guī)范，基于OSI參考模型，提出一套解決航空無線網(wǎng)絡(luò)應(yīng)用安全性的方案，該方案在數(shù)據(jù)鏈路層采用EAP-TLS雙向認(rèn)證機(jī)制，用于解決機(jī)載無線設(shè)備與機(jī)場無線接入點(diǎn)之間的安全認(rèn)證；在網(wǎng)絡(luò)層使用IPSec VPN技術(shù)在機(jī)載網(wǎng)絡(luò)、機(jī)場網(wǎng)絡(luò)、公共網(wǎng)絡(luò)及航空公司網(wǎng)絡(luò)之間提供IPSec VPN通道，用于保證數(shù)據(jù)在不同網(wǎng)絡(luò)中傳輸?shù)陌踩?；在傳輸層與應(yīng)用層之間采用SSL VPN技術(shù)，在機(jī)載應(yīng)用與航空公司應(yīng)用之間提供SSL VPN通道，用于保證不同安全等級的應(yīng)用數(shù)據(jù)傳輸?shù)陌踩?。通過以上策略確保機(jī)載設(shè)備與航空公司服務(wù)器之間端到端應(yīng)用的安全性。

參考文獻(xiàn)

[1]陳劍，李曉東.機(jī)載信息系統(tǒng)無線網(wǎng)絡(luò)的安全設(shè)計(jì)[J].航空計(jì)算技術(shù)，2012，3（42）：130-134.

[2]AIRLINES ELECTRONIC ENGINEERING COMMITTEE.AIRCRAFT/GROUND IP COMMUNICATION[S].ARINC，2008.

[3]王曼珠，周亮.基于RADIUS／EAP的WLAN認(rèn)證及其安全性分析[J].電子科技大學(xué)學(xué)報(bào)，2005，2（34）：168-171.

[4]曹利，黃海斌.基于802.11i的四次握手協(xié)議的攻擊分析[j].計(jì)算機(jī)工程，2009，10（35）：145-146.

[5]池亞平，楊磊，李兆斌，方勇.基于EAPTLS的可信網(wǎng)絡(luò)連接認(rèn)證方案設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與科學(xué)，2011，4（33）：8-12.

[6]熊蜀峰，周本東.基于角色的訪問控制在SSL VPN中的應(yīng)用[J].計(jì)算機(jī)與數(shù)字工程，2011，8（39）：105-108.

[7]吳麗華，史烈基.于VPN技術(shù)的安全無線局域網(wǎng)的構(gòu)建[J].計(jì)算機(jī)工程，2005，4（31）：169-171.

endprint

IPSec協(xié)議工作在網(wǎng)絡(luò)層，這使IPsec更加靈活，因?yàn)樗梢杂脕肀Ｗo(hù)基于TCP和UDP的應(yīng)用層協(xié)議數(shù)據(jù)，但這增加了它的復(fù)雜度以及總的開銷處理，因?yàn)樗荒芤揽縏CP管理可靠度。當(dāng)前IPSec多是被用于域（site）到域的安全可靠的連接協(xié)議，它并不用來保護(hù)特定應(yīng)用或業(yè)務(wù)。因此可以使用SSL/TLS等傳輸層及其以上的（OSI模型的第4層至第7層）安全協(xié)議來完成針對特定應(yīng)用安全的端到端數(shù)據(jù)傳輸通道。

3.3 端到端安全技術(shù)SSL VPN

SSL VPN是新興的遠(yuǎn)程訪問技術(shù)，通過Web瀏覽器或?qū)Ｓ每蛻舳颂峁┡c企業(yè)內(nèi)部資源的安全連接。該技術(shù)位于OSI模型的傳輸層和應(yīng)用層之間。SSL VPN可以根據(jù)不同的用戶和安全屬性授予用戶不同的訪問權(quán)限，這是SSL VPN與傳統(tǒng)遠(yuǎn)程訪問解決方案（如基于IPSec的遠(yuǎn)程訪問VPN）的主要區(qū)別。這種方式優(yōu)于傳統(tǒng)的IPsec VPN方式的主要特點(diǎn)是不需要安裝任何用戶終端軟件，用戶終端只需要擁有一個(gè)支持SSL的瀏覽器即可。

本研究方案對IPSec VPN和SSL VPN兩種安全技術(shù)都做了研究，根據(jù)航空應(yīng)用場景和航空應(yīng)用對安全性的要求，將兩種VPN結(jié)合起來，充分發(fā)揮它們的優(yōu)勢，為飛機(jī)和航空公司之間的通信提供高信息安全保障。

4結(jié)論

機(jī)載網(wǎng)絡(luò)與地面網(wǎng)絡(luò)通過機(jī)場無線網(wǎng)絡(luò)進(jìn)行無縫連接的功能，改變了機(jī)載信息與地面網(wǎng)絡(luò)信息相互交互的傳輸過程和方式，可以大幅度提升數(shù)據(jù)上傳下載的效率，提升維護(hù)效率，降低維護(hù)成本，并及時(shí)預(yù)測故障的發(fā)生。本文參考ARINC822規(guī)范，基于OSI參考模型，提出一套解決航空無線網(wǎng)絡(luò)應(yīng)用安全性的方案，該方案在數(shù)據(jù)鏈路層采用EAP-TLS雙向認(rèn)證機(jī)制，用于解決機(jī)載無線設(shè)備與機(jī)場無線接入點(diǎn)之間的安全認(rèn)證；在網(wǎng)絡(luò)層使用IPSec VPN技術(shù)在機(jī)載網(wǎng)絡(luò)、機(jī)場網(wǎng)絡(luò)、公共網(wǎng)絡(luò)及航空公司網(wǎng)絡(luò)之間提供IPSec VPN通道，用于保證數(shù)據(jù)在不同網(wǎng)絡(luò)中傳輸?shù)陌踩?；在傳輸層與應(yīng)用層之間采用SSL VPN技術(shù)，在機(jī)載應(yīng)用與航空公司應(yīng)用之間提供SSL VPN通道，用于保證不同安全等級的應(yīng)用數(shù)據(jù)傳輸?shù)陌踩?。通過以上策略確保機(jī)載設(shè)備與航空公司服務(wù)器之間端到端應(yīng)用的安全性。

參考文獻(xiàn)

[1]陳劍，李曉東.機(jī)載信息系統(tǒng)無線網(wǎng)絡(luò)的安全設(shè)計(jì)[J].航空計(jì)算技術(shù)，2012，3（42）：130-134.

[2]AIRLINES ELECTRONIC ENGINEERING COMMITTEE.AIRCRAFT/GROUND IP COMMUNICATION[S].ARINC，2008.

[3]王曼珠，周亮.基于RADIUS／EAP的WLAN認(rèn)證及其安全性分析[J].電子科技大學(xué)學(xué)報(bào)，2005，2（34）：168-171.

[4]曹利，黃海斌.基于802.11i的四次握手協(xié)議的攻擊分析[j].計(jì)算機(jī)工程，2009，10（35）：145-146.

[5]池亞平，楊磊，李兆斌，方勇.基于EAPTLS的可信網(wǎng)絡(luò)連接認(rèn)證方案設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與科學(xué)，2011，4（33）：8-12.

[6]熊蜀峰，周本東.基于角色的訪問控制在SSL VPN中的應(yīng)用[J].計(jì)算機(jī)與數(shù)字工程，2011，8（39）：105-108.

[7]吳麗華，史烈基.于VPN技術(shù)的安全無線局域網(wǎng)的構(gòu)建[J].計(jì)算機(jī)工程，2005，4（31）：169-171.

endprint

IPSec協(xié)議工作在網(wǎng)絡(luò)層，這使IPsec更加靈活，因?yàn)樗梢杂脕肀Ｗo(hù)基于TCP和UDP的應(yīng)用層協(xié)議數(shù)據(jù)，但這增加了它的復(fù)雜度以及總的開銷處理，因?yàn)樗荒芤揽縏CP管理可靠度。當(dāng)前IPSec多是被用于域（site）到域的安全可靠的連接協(xié)議，它并不用來保護(hù)特定應(yīng)用或業(yè)務(wù)。因此可以使用SSL/TLS等傳輸層及其以上的（OSI模型的第4層至第7層）安全協(xié)議來完成針對特定應(yīng)用安全的端到端數(shù)據(jù)傳輸通道。

3.3 端到端安全技術(shù)SSL VPN

SSL VPN是新興的遠(yuǎn)程訪問技術(shù)，通過Web瀏覽器或?qū)Ｓ每蛻舳颂峁┡c企業(yè)內(nèi)部資源的安全連接。該技術(shù)位于OSI模型的傳輸層和應(yīng)用層之間。SSL VPN可以根據(jù)不同的用戶和安全屬性授予用戶不同的訪問權(quán)限，這是SSL VPN與傳統(tǒng)遠(yuǎn)程訪問解決方案（如基于IPSec的遠(yuǎn)程訪問VPN）的主要區(qū)別。這種方式優(yōu)于傳統(tǒng)的IPsec VPN方式的主要特點(diǎn)是不需要安裝任何用戶終端軟件，用戶終端只需要擁有一個(gè)支持SSL的瀏覽器即可。

本研究方案對IPSec VPN和SSL VPN兩種安全技術(shù)都做了研究，根據(jù)航空應(yīng)用場景和航空應(yīng)用對安全性的要求，將兩種VPN結(jié)合起來，充分發(fā)揮它們的優(yōu)勢，為飛機(jī)和航空公司之間的通信提供高信息安全保障。

4結(jié)論

機(jī)載網(wǎng)絡(luò)與地面網(wǎng)絡(luò)通過機(jī)場無線網(wǎng)絡(luò)進(jìn)行無縫連接的功能，改變了機(jī)載信息與地面網(wǎng)絡(luò)信息相互交互的傳輸過程和方式，可以大幅度提升數(shù)據(jù)上傳下載的效率，提升維護(hù)效率，降低維護(hù)成本，并及時(shí)預(yù)測故障的發(fā)生。本文參考ARINC822規(guī)范，基于OSI參考模型，提出一套解決航空無線網(wǎng)絡(luò)應(yīng)用安全性的方案，該方案在數(shù)據(jù)鏈路層采用EAP-TLS雙向認(rèn)證機(jī)制，用于解決機(jī)載無線設(shè)備與機(jī)場無線接入點(diǎn)之間的安全認(rèn)證；在網(wǎng)絡(luò)層使用IPSec VPN技術(shù)在機(jī)載網(wǎng)絡(luò)、機(jī)場網(wǎng)絡(luò)、公共網(wǎng)絡(luò)及航空公司網(wǎng)絡(luò)之間提供IPSec VPN通道，用于保證數(shù)據(jù)在不同網(wǎng)絡(luò)中傳輸?shù)陌踩裕辉趥鬏攲优c應(yīng)用層之間采用SSL VPN技術(shù)，在機(jī)載應(yīng)用與航空公司應(yīng)用之間提供SSL VPN通道，用于保證不同安全等級的應(yīng)用數(shù)據(jù)傳輸?shù)陌踩?。通過以上策略確保機(jī)載設(shè)備與航空公司服務(wù)器之間端到端應(yīng)用的安全性。

參考文獻(xiàn)

[1]陳劍，李曉東.機(jī)載信息系統(tǒng)無線網(wǎng)絡(luò)的安全設(shè)計(jì)[J].航空計(jì)算技術(shù)，2012，3（42）：130-134.

[2]AIRLINES ELECTRONIC ENGINEERING COMMITTEE.AIRCRAFT/GROUND IP COMMUNICATION[S].ARINC，2008.

[3]王曼珠，周亮.基于RADIUS／EAP的WLAN認(rèn)證及其安全性分析[J].電子科技大學(xué)學(xué)報(bào)，2005，2（34）：168-171.

[4]曹利，黃海斌.基于802.11i的四次握手協(xié)議的攻擊分析[j].計(jì)算機(jī)工程，2009，10（35）：145-146.

[5]池亞平，楊磊，李兆斌，方勇.基于EAPTLS的可信網(wǎng)絡(luò)連接認(rèn)證方案設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與科學(xué)，2011，4（33）：8-12.

[6]熊蜀峰，周本東.基于角色的訪問控制在SSL VPN中的應(yīng)用[J].計(jì)算機(jī)與數(shù)字工程，2011，8（39）：105-108.

[7]吳麗華，史烈基.于VPN技術(shù)的安全無線局域網(wǎng)的構(gòu)建[J].計(jì)算機(jī)工程，2005，4（31）：169-171.

endprint